個人データを第三者に提供するには、原則として本人の同意が必要です(法27条1項)。
しかし実務の現場では、
- 警察から捜査関係事項照会が届いたが、本人の同意なく提供してよいのか?
- 来店していたお得意様が突然倒れたため救急車を手配し病院に搬送するが、この人の氏名や住所、連絡先などを勝手に伝えてよいのか?
といった状況に直面することがあると思います。
このような場合に備え、法は同意なしでも第三者提供が認められる7つの例外を定めています。本記事では、それぞれの例外の要件と具体的な該当ケースを、実務で判断に迷いやすいポイントも含めて解説します。
なお、「第三者」とは、個人データによって特定される本人以外、かつ個人データを提供しようとする個人情報取扱事業者以外の者をいい、個人か法人かを問いません。
また、グループ会社内であっても、法人格が異なれば第三者に該当しますのでご注意ください。
はじめに:同意不要で第三者提供できるケースの全体像
先述のとおり、原則としては第三者に個人情報、個人データを提供する場合には、本人の同意が必要ですが、ただ法には同意なく第三者提供できる「例外」が定められています。
| No. | 類型 | 典型例 | 「同意が困難」の要件 | 該当条文 |
|---|---|---|---|---|
| 1 | 法令に基づく場合 | 警察の捜査関係事項照会、裁判所の令状 | 不要 | 法27条1項1号 |
| 2 | 生命・身体・財産の保護 | 急病時の家族情報伝達、リコール対応 | 必要 | 法27条1項2号 |
| 3 | 公衆衛生・児童の育成 | 児童虐待の情報共有、疫学調査 | 必要 | 法27条1項3号 |
| 4 | 国の機関等への協力 | 統計調査への回答、税務調査 | 必要 | 法27条1項4号 |
| 5 | 学術研究の成果公表 | 研究成果の発表・教授 | 不要 | 法27条1項5号 |
| 6 | 共同学術研究 | 研究機関間でのデータ共有 | 不要 | 法27条1項6号 |
| 7 | 学術研究目的の提供先 | 大学等へのデータ提供 | 不要 | 法27条1項7号 |
ここで注意が必要なのが、No.2〜4には「本人の同意を得ることが困難であるとき」という追加要件がある点です。つまり、本人からの同意が容易に得られる状況であれば、これらの例外は使えません。
自社のケースは同意が必要?不要?判断フローチャート
第三者に個人データを提供する場面に直面したとき、以下の順で検討してください。
【1】そもそも「第三者提供」に該当するか?
→ 委託・事業承継・共同利用(法27条5項)に該当する場合は、法令上の”第三者提供”には該当しないため、本人の同意は不要です(詳しくは本記事後半の「そもそも第三者提供に該当しないケース」を参照)。
【2】上記の例外7類型のいずれかに該当するか?
→ 該当する場合は同意不要で提供できます。ただし2号〜4号は「同意を得ることが困難」であることが条件です。
【3】オプトアウト(法27条2項)の手続きを取っているか?
→ 事前に個人情報保護委員会への届出等の手続きを行っている場合は、本人からの停止請求がない限り提供可能です(本記事後半の「オプトアウトによる第三者提供」を参照)。
【4】いずれにも該当しない場合
→ 本人の同意を得てから提供する必要があります。同意の取得方法については「プライバシーポリシーへの「同意」の必要性」で詳しく解説しています。
例外1:法令に基づく場合(法27条1項1号)
法律や条例の規定により、個人データの提供が求められる、または提供するよう努めることとされている場合です。この類型は「同意を得ることが困難」という追加要件がなく、該当すれば直ちに同意不要で提供できます。
具体例としては、以下のような場合が該当します。
- 警察からの捜査関係事項照会(刑事訴訟法197条2項)
- 裁判官の発する令状に基づく捜索・差押え(刑事訴訟法218条)
- 税務署による所得税等に関する調査(国税通則法74条の2等)
- 弁護士会からの照会(弁護士法23条の2)
- 保健所が行う積極的疫学調査に対応する場合(感染症の予防及び感染症の患者に対する医療に関する法律15条1項)
- 児童虐待に係る通告(児童虐待防止法6条1項)
- 国勢調査(統計法13条)
- 特定事業者による疑わしい取引の届出(犯罪収益移転防止法8条1項)
実務上の注意点:
Q:警察から「電話」で照会が来た場合、応じてよいか?
A:捜査関係事項照会は書面(照会書)で行われるのが原則です。電話のみでの照会に応じることが直ちに違法となるわけではありませんが、後日のトラブル防止のため、照会書の送付を依頼し、書面で確認してから回答するのが安全な実務対応です。
Q:弁護士「個人」からの照会にも応じる義務があるか?
弁護士法23条の2に基づく照会は、弁護士会を通じて行われるものです。弁護士個人が直接照会してきた場合は本号の「法令に基づく場合」には該当しないため、原則どおり本人の同意が必要です。
例外2:人の生命、身体又は財産の保護のために必要がある場合(法27条1項2号)
人の生命、身体または財産を保護するために必要があり、かつ本人の同意を得ることが困難であるときに限り、同意なしで提供できます。
具体例としては、以下のような場合が該当します。
- 急病で意識を失った人の血液型や家族の連絡先を、医師・看護師に伝える場合
- 反社会的勢力に関する情報を、事業者間で共有する場合
- 販売した製品に重大な欠陥が発見されたため、リコールを実施するために販売店が購入者の情報をメーカーに提供する場合
- 大規模災害の発生時に、被災者や負傷者の情報を家族や行政機関に提供する場合
- 長期にわたって代金の支払いを拒否している者の情報を、他の事業者に提供する場合
なお、ここでの「人」には法人や第三者も含まれるため、法人の財産を保護する場合も含まれます。たとえば取引先の詐欺被害を防止するために情報を共有するケースも該当すると考えられます。
例外3:公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合(法27条1項3号)
公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、かつ本人の同意を得ることが困難である場合に限り、同意なしで提供できます。。
具体例としては、以下のような場合が該当します。
- 児童虐待のおそれがある家庭の情報を、警察・児童相談所・病院などの間で共有する場合
- 有効な治療法が確立していない疾病について、医療機関が過去の診療データを製薬企業に提供する場合
- 感染症のまん延防止のために、患者情報を保健所や医療機関間で共有する場合
例外3の適用については「特に必要」という点が要注意です。
単なる「必要」よりも高い必要性が求められ、一般的な健康増進や通常の研究目的では、この例外には該当しないと考えられます。
例外4:国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合(法27条1項4号)
国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するにあたり、事業者の協力が必要な場合であって、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあるときに、同意なしで提供できます。
代表的な例としては、次のような場合が考えられます。
- 警察や税務署などからの任意の求め(法令に基づく強制力はないが、協力が求められるもの)に応じる場合
- 地方公共団体が独自に行う実態調査(法令上の回答義務がないもの)への協力として情報を提供する場合
- 国の機関が政策立案のために行う任意のヒアリング・アンケートに回答する場合
なお、例外1(法令に基づく場合)との違いについては、例外1は法令上の義務や権限に基づく場合であり、例外4は法令に直接の根拠はないが事務の遂行への協力として提供する場合です。
たとえば、捜査関係事項照会(例外1)は法律上の照会権限に基づきますが、警察からの任意の聞き込み(例外4)は法的強制力がない点で異なります。
例外5〜7:学術研究に関する例外(法27条1項5号〜7号)
学術研究機関等(大学その他の学術研究を目的とする機関もしくは団体又はそれらに属する者)が関わる場合の例外として、以下の3つが定められています。
一般の事業者に直接関係するケースは多くありませんが、大学や研究機関との共同研究を行う際などに問題となります。
| 号 | 内容 | 要件 |
|---|---|---|
| 5号 | 学術研究機関等が、研究成果の公表・教授のためやむを得ず提供する場合 | 個人の権利利益を不当に侵害するおそれがないこと |
| 6号 | 学術研究機関等が、共同研究の相手方に学術研究目的でデータを提供する場合 | 共同研究に限る。個人の権利利益を不当に侵害するおそれがないこと |
| 7号 | 提供先が学術研究機関等であり、学術研究目的で取り扱う必要がある場合 | 個人の権利利益を不当に侵害するおそれがないこと |
いずれの場合も、個人の権利利益を不当に侵害するおそれがある場合は除外されます。
「本人の同意を得ることが困難」とはどのような状況か?
例外2〜4に共通する要件である「本人の同意を得ることが困難」とは、具体的にどのような場合を指すのでしょうか。
ガイドラインやQ&Aを踏まえると、以下のような場合が該当すると考えられます。
- 有効な連絡先情報を保有していない場合
- 急病・事故などにより本人の意識がない場合
- 連絡先の特定のために多額の費用が必要である場合
- 反社情報の共有など、本人の同意を得ることが事案の性質上期待できない場合
- 同意取得にかかる時間・費用が研究の遂行に支障を来す場合
- 大規模災害の発生直後など、同意取得が物理的に困難な状況にある場合
「面倒だから」「時間がかかるから」という理由だけでは「困難」とは認められません。合理的な努力をしても同意を得られない、または同意取得を試みることで本来の目的達成が著しく阻害されるといった事情が必要です。
逆に言えば、本人に連絡がつき、同意を得る時間的余裕がある場合は、たとえ例外の類型に該当する場面であっても同意を得たうえで提供すべきだと考えられます。
オプトアウトによる第三者提供(法27条2項)
上記7つの例外に該当しない場合でも、オプトアウトの手続きを取ることで、本人の事前同意なく第三者提供を行うことができます。
オプトアウトとは、あらかじめ一定の事項を本人に通知し(または本人が容易に知り得る状態に置き)、個人情報保護委員会に届出を行ったうえで、本人から停止の求めがない限り第三者提供を行える仕組みです。
代表例としては、表札などを調べて住宅地図を作成販売する住宅地図業者や、ダイレクトメール用の名簿等を作成販売するデータベース事業者が、第三者提供として販売する場合が挙げられます。
オプトアウトの要件とは
以下の2点を満たす必要があります。
(1)以下の事項をあらかじめ本人に通知、または本人が容易に知り得る状態に置く
- 個人情報取扱事業者の氏名、住所、法人代表者名
- 第三者への提供を行うこと
- 提供される個人データの項目
- 取得の方法
- 提供の方法
- 本人の求めに応じて提供を停止すること
- 本人の求めを受け付ける方法
- 第三者に提供される個人データの更新の方法
- 第三者への提供を開始する予定日
(2)個人情報保護委員会に届け出る
ただし、以下のいずれかに該当する場合は、オプトアウトによる第三者提供は認められていません(法27条2項ただし書き)。
- 要配慮個人情報(人種、信条、病歴など。詳しくは「要配慮個人情報とは」を参照)
- 不正の手段で取得された個人データ
- オプトアウトの方法で他の事業者から取得した個人データ(いわゆる「オプトアウト逃れ」の防止)
そもそも「第三者提供」に該当しないケース(法27条5項)
以下のケースは法律上「第三者」への提供とみなされないため、そもそも同意を取得する必要がありません。実務上はこれらに該当するかどうかの判断が最も頻繁に問題となります。
1. 委託に伴う提供
利用目的の達成に必要な範囲で、個人データの取扱いの全部または一部を委託することに伴い提供する場合です。
ただし、委託先に対する監督義務(法25条)が発生する点に注意してください。
なお、「委託」と「第三者提供」の境界は実務上非常に重要な論点です。
詳しくは「個人情報の取扱いの委託とは?委託先の監督義務と”混ぜるな危険”問題」をご覧ください。
また、クラウドサービスの利用が委託に該当するかどうかは別途の論点があります。
詳しくは「クラウドサービスを使うと「第三者提供」になるのか?」で解説しています。
2.事業承継に伴う提供
合併、分社化、事業譲渡などの事業承継に伴って個人データが移転する場合です。
3.共同利用
特定の者との間で共同して利用する場合で、あらかじめ以下の事項を本人に通知するか、本人が容易に知り得る状態に置いている場合です。
- 共同利用する旨
- 共同利用される個人データの項目
- 共同利用する者の範囲
- 利用する者の利用目的
- 個人データの管理について責任を有する者の氏名または名称等
なお、グループ会社間での共有は、共同利用の要件を満たしていない限り第三者提供に該当します。「同じグループだから大丈夫」と安易に判断するのは危険です。
不安な場合は、専門家と相談のうえで適切な対応が望ましいです。
また、そもそも共同利用が第三者提供とされないのは「個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため」という趣旨ですので、単に「取引先と一緒に使うから」といった理由の場合は慎重な判断が求められます。
第三者提供に関するよくある質問
Q. グループ会社(親会社・子会社間)での情報共有は第三者提供に当たりますか?
A. 当たります。 法律上、親会社と子会社は別の法人ですので、たとえグループ内であっても第三者提供に該当します。同意を取得するか、委託・共同利用の要件を満たす必要があります。フランチャイズの本部と加盟店の間も同様です。
Q. 警察から「任意」で情報提供を求められた場合、拒否できますか?
A. 法令に基づく照会(捜査関係事項照会など)は法的な根拠がありますが、任意の求めは強制力がありません。ただし、例外4(国の機関等への協力)に該当する可能性があり、合理的な範囲で協力することは認められます。
一方で、任意の求めであっても提供した場合に個人情報保護法上の問題が生じないかどうかは別途検討が必要です。判断に迷う場合は専門家に相談してください。
Q. 本人が未成年の場合、同意は誰から得ればよいですか?
A. 未成年者の場合、法定代理人(親権者等)の同意を得るのが原則です。ただし、一般的に15歳以上程度であれば、本人の判断能力に応じて本人の同意で足りるとされるケースもあります(Q&A Q1-62参照)。
Q. 「個人データ」ではなく「個人情報」の段階であれば同意なしで提供できますか?
第三者提供の制限(法27条)は「個人データ」、つまり個人情報データベース等を構成する個人情報に適用されます。体系的に整理されていない散在情報(名刺1枚を手渡すなど)は「個人データ」に該当しない場合もありますが、実務上はデータベースに含まれるケースが大半であるため、慎重な判断が求められます。
なお、個人関連情報の第三者提供にはまた別のルールが適用されます。
安易な判断ではなく、慎重な検討を
個人データの第三者提供は原則として本人の同意が必要ですが、法27条には7つの例外が定められています。
実務で重要なのは、安易に「例外に該当するから大丈夫」と判断しないことです。特に2号〜4号の例外は「本人の同意を得ることが困難」という追加要件があり、同意取得が可能な状況であれば例外は適用できません。
また、委託・事業承継・共同利用といった「第三者提供に該当しないケース」との区別や、オプトアウト制度の利用可否も含めて、総合的に検討することが必要です。
判断に迷う場合は、自社のプライバシーポリシーの整備状況も含めて、専門家にご相談ください。
※「法」とは個人情報保護法を意味します
※「規則」とは個人情報保護委員会規則を意味します
※「ガイドライン」とは「個人情報の保護に関する法律についてのガイドライン」を意味します
※「Q&A」とは「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aを意味します
